A PSG é uma empresa de growth equity que faz parceria com empresas de software e serviços habilitados por tecnologia para ajudá-las a navegar pelo crescimento transformacional, capitalizar oportunidades estratégicas e construir equipes fortes. Tendo apoiado mais de 150 empresas e facilitado mais de 520 aquisições adicionais, a PSG traz vasta experiência em investimentos, profundo conhecimento em software e tecnologia, e um firme compromisso em colaborar com as equipes de gestão. Fundada em 2014, a PSG opera a partir de escritórios em Boston, Kansas City, Londres, Paris, Madri e Tel Aviv. Para saber mais sobre a PSG, visite www.psgequity.com.
A PSG adota uma abordagem estratégica e pragmática para a habilitação operacional, incluindo a segurança. Quando buscaram unificar a segurança de aplicações em todo o portfólio, recorreram ao Aikido.
Conversamos com Adam Glick, Diretor de Segurança da Informação da PSG, sobre como o Aikido ajuda a empresa a apoiar a segurança e o papel que a plataforma agora desempenha na diligência, supervisão e capacitação.
Olá, Adam! Você poderia começar se apresentando e falando sobre seu papel na PSG?
Sou o CISO da PSG. Estou na empresa há cerca de dois anos. Minhas responsabilidades são duplas: supervisiono a TI interna e a InfoSec na própria PSG e também atuo como função de governança e supervisão para as empresas do portfólio. Isso significa ajudar a garantir que nossas Empresas de Portfólio (“PortCos” ou “empresas de portfólio”) estejam investindo em segurança, amadurecendo seus programas e entregando código seguro.
Como a PSG apoia as empresas do seu portfólio quando se trata de segurança?
Temos uma equipe de operações que auxilia nossas PortCos no dia a dia: seja na seleção de tecnologia, contratação, estratégia GTM ou, sim, segurança. Trabalhamos em conjunto com eles para avaliar fornecedores, criar políticas, preparar para auditorias ou abordar desafios de conformidade.
No âmbito da segurança, estamos lá para ajudar nossas empresas do portfólio a entender o que é necessário e a encontrar as ferramentas e os parceiros certos para alcançar seus objetivos.
Que papel a segurança de aplicações desempenha nas estruturas que vocês incentivam?
Acreditamos que o AppSec é um dos pilares fundamentais de qualquer organização de desenvolvimento. Esperamos que nossas PortCos priorizem práticas de codificação segura, tanto para o risco organizacional quanto para a integridade reputacional. Nosso trabalho é apoiar nossas PortCos na avaliação e adoção de ferramentas de codificação segura.
O que motivou a PSG a explorar uma iniciativa de AppSec para todo o portfólio?
Qualquer iniciativa que possamos implementar em todo o portfólio é uma vitória. Se conseguirmos identificar uma necessidade programática ou sistêmica (especialmente em algo como segurança), vale a pena resolvê-la de forma unificada.
Como você identificou as ferramentas certas para este tipo de iniciativa?
Temos pontos de contato regulares com nossas PortCos e compreendemos sua maturidade. Esse nível de engajamento nos dá visibilidade sobre onde soluções compartilhadas poderiam ser úteis em todo o portfólio.
O maior desafio ao adotar uma iniciativa de aplicação em todo o portfólio é minimizar o atrito. Cada empresa é diferente. A questão é: qual é o denominador comum? Precisávamos de uma solução que pudesse funcionar para a maioria das empresas com mínimos obstáculos de implantação.
Então, como o Aikido se destacou?
A facilidade de implantação foi um fator importante. Assim que concluímos nossa diligência e assinamos o contrato, pudemos conectar uma empresa ao Aikido e iniciar a varredura em segundos, literalmente. Sem ajustes finos, sem dores de cabeça. Isso por si só eliminou uma grande barreira.
“Assim que concluímos nossa diligência e assinamos o contrato, pudemos conectar uma empresa ao Aikido e iniciar a varredura em segundos, literalmente.”
Mas, além disso, a amplitude de capacidades técnicas: SAST, DAST, CSPM, varredura de segredos… tudo integrado em uma única plataforma, foi realmente convincente. Para a PSG, a implantação exigiu pouco esforço e gerou muitos resultados.
E o relacionamento com a diretoria importava. Queremos saber que, se algo der errado, temos pessoas no comando nos ajudando a resolver rapidamente. Nossa experiência com a equipe executiva do Aikido tem sido positiva.
Como você abordou o rollout em todo o portfólio?
Levamos a implementação a sério. Não foi apenas: “Aqui está uma ferramenta, vá usá-la.” Tivemos sessões de conscientização, horários de atendimento, reuniões individuais com líderes de desenvolvimento, documentação, canais do Slack para suporte em tempo real… Basicamente, tudo o que pudemos para garantir que nossas PortCos estivessem preparadas para o sucesso.
“Não foi apenas 'Aqui está uma ferramenta, vá usá-la'. Tivemos sessões de conscientização, horários de atendimento, reuniões individuais... basicamente tudo o que pudemos para garantir que nossas PortCos estivessem preparadas para o sucesso.”
Tanto o Aikido quanto a PSG tinham pontos de contato. Estávamos disponíveis em vários canais para garantir respostas rápidas. O lado da capacitação foi tão importante quanto a própria tecnologia.
Que papel o Portal de Parceiros do Aikido desempenha em sua supervisão?
Há muito potencial ali. Hoje, nós o usamos para identificar rapidamente CVEs importantes (como “Quem tem CVE-2024-XXXX?”) e entrar em contato com as empresas afetadas.
Dito isso, estamos buscando capacidades de relatórios mais robustas. Gostaríamos de ver mais tendências em nível macro. Coisas como tendências de vulnerabilidades em todo o portfólio ou taxas de remediação empresa por empresa. O Aikido tem sido muito receptivo a este feedback, e estamos colaborando em melhorias.
Como você descreveria o “antes” e o “depois” da coordenação de segurança na PSG?
Antes, as ferramentas eram mais fragmentadas. Cada PortCo escolhia o que funcionava para eles. Isso não é inerentemente ruim, mas torna a supervisão e o suporte muito mais difíceis.
Agora, há algo central em vigor que não existia antes. Tivemos feedback positivo dos usuários. A ferramenta é fácil de adotar e genuinamente útil. Ainda estamos no início da quantificação do impacto, mas, anedoticamente, tem sido muito positivo.
Vocês começaram a usar o Aikido de outras formas além da segurança do portfólio?
“Estamos começando a incorporar o Aikido em nossos fluxos de trabalho de diligência… Isso nos dá uma visão mais informada do que estamos adquirindo.”
Sim. Estamos começando a incorporar o Aikido em nossos fluxos de trabalho de diligência. Ao avaliarmos novas empresas para uma potencial aquisição, podemos conectá-las ao Aikido e obter insights imediatos sobre sua postura de segurança, sem precisar de acesso ao próprio código. Sentimos que isso nos dá uma visão mais informada do que estamos adquirindo.
Algum conselho para outros que estão implementando iniciativas de tecnologia em um portfólio?
“Não existe uma solução única para todos, mas existe uma solução que serve para a maioria, e achamos que o Aikido se encaixa perfeitamente.”
Com certeza. Uma coisa que aprendemos é não ser excessivamente prescritivo no espaço de TI. Usamos o que chamo de abordagem 'caminho bem trilhado da Netflix' (baseada no estilo de gestão da empresa). Dizemos às empresas quais resultados precisamos. Por exemplo, um programa de codificação segura, mas não ditamos exatamente como chegar lá.
O Aikido é um ótimo exemplo: é uma forte recomendação, não um mandato. Se funcionar para você, ótimo. Se não, encontre o que funciona. Não existe uma solução única para todos, mas existe uma solução que serve para a maioria, e achamos que o Aikido se encaixa perfeitamente.
Considerações finais?
O Aikido tem sido um parceiro excepcional. Seja no suporte no canal do Slack, na disponibilidade da liderança ou na capacidade de resposta do produto, eles entregaram consistentemente. Tem sido um ótimo relacionamento.
